Der Videokonferenzanbieter Zoom hat im September 2024 im Umfeld der Internationalen Funkausstellung zwei IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Die Sicherheitskennzeichen beziehen sich auf die Dienste "Zoom Workplace Basic" und "Zoom Workplace Pro".
Anzeige
Das IT-Sicherheitskennzeichen soll Verbraucherinnen und Verbrauchern dabei helfen, sich beim Kauf von vernetzten Geräten oder bei der Nutzung digitaler Dienste zu orientieren. Es signalisiert, dass ein Produkt grundlegende IT-Sicherheitsanforderungen erfüllt. Hersteller und Anbieter können das Kennzeichen aktuell für mobile Endgeräte, smarte Verbrauchergeräte, Breitbandrouter, E-Mail-Dienste sowie Videokonferenzdienste beantragen.
BSI-Vizepräsident Dr. Gerhard Schabhüser gratulierte Zoom zur Erteilung zweier IT-Sicherheitskennzeichen. Der Videokonferenzdienste-Anbieter leiste damit einen wichtigen Beitrag zur Transparenz bei der IT-Sicherheit von Videokonferenzdiensten und setze ein klares Zeichen für die Branche, angemessene Sicherheitsanforderungen für Verbraucherinnen und Verbraucher umzusetzen, heißt es.
Maßgeblich für die Kennzeichnung von Videokonferenzdiensten ist die DIN SPEC 27008. Diese gibt Mindestanforderungen vor – etwa zu Account-Schutz, Update- und Schwachstellenmanagement, Authentisierungsmechanismen, Transparenz, sicherem Rechenzentrumsbetrieb und weiteren Funktionen wie aktuellen Verschlüsselungstechnologien und Kontrolle während der Videokonferenz darüber, wer auf welche Weise zugeschaltet ist. Als erster Anbieter erhielt die Berliner OpenTalk GmbH im Juli 2024 das IT-Sicherheitskennzeichen für Videokonferenzdienste.
Mit der Erteilung des IT-Sicherheitskennzeichens entspricht nun auch Zoom dem zunehmenden Informationssicherheitsbedürfnis vieler Verbraucherinnen und Verbraucher, die in Sachen Cybersicherheit kein unnötiges Risiko eingehen möchten. Auf der Produktinformationsseite des BSI haben Nutzende die Möglichkeit, aktuelle Informationen zu Updates, Sicherheitseigenschaften und zur Laufzeit des Kennzeichens abzurufen. Der Zugang erfolgt über den QR-Code auf dem Kennzeichen oder über die Website des BSI. Dort finden Verbraucherinnen und Verbraucher auch alle weiteren Informationen zu den bisher gekennzeichneten Produkten.
Anzeige
Anzeige
Das Sicherheitskennzeichen wäre mit Vorsicht und genau zu betrachten. Derzeit sehe ich eher Tendenz zur Nebelkerze.
So skizziert bspw. das BSI hier die Schritte zum Kennzeichen:
Die Plausibilitätsprüfung werte ich als recht dürftig in heutiger komplexer Technikwelt. Allenfalls die nachgelagerte Marktaufsicht hätte wohl dann noch das Potential einer fundierteren technischen Beurteilung. Da ist der Stempel jedoch schon drauf.
Da eine fundierte Beurteilung idR sehr Aufwandsintensiv ist – man denke an die sehr gute Analyse "SiSyPHuS" vom BSI zum Thema Windows 10 – macht dies aus Erfahrung ein fundiertes Audit eher schwer. Sysiphus kostete mW Millionen.
Dabei ist das Vorgehen vom BSI mE nicht generell schlecht – die Anforderungen zum Kennzeichen: Ein erster strukturierter Schritt.
Für Zoom gelten wohl die Vorgaben für Videokonferenzdienste. Hier nennt BSI die auf diese Kategorie bezogene Allgemeinverfügung, die DIN SPEC 27008 natürlich relativ closed source bei Beuth und auf gut 60 Seiten Testszenarien und kleine Anforderungspakete. Wenn jedoch der Betreiber der Lösung (hier Zoom) in diesem Dokument der "Basic Criteria" nicht einmal regulatorische Verpflichtungen einhalten muss – oder sein Bereich Infrastruktur lediglich "Infrastructural resilience" zu erfüllen hat – dann haben wir die Bedeutung und Brisanz von Kommunikationsdaten nicht verstanden.
Ob der Verbraucher jetzt davon ausgehen kann, dass Zoom "seinem" (Zitat v. oben) "zunehmenden Informationssicherheitsbedürfnis vieler Verbraucher…" entspricht, nun …
Meinem Bedürfnis jedenfalls nicht! Mit fallen sofort die Defizite bei Ausleitung, genutzter Infrastruktur oder Anweisungen zur Unterlassung der Nutzung von recht gut informierten Datenschutzbeauftragten ein.
Ebenso bin ich der festen Überzeugung, dass viele Verbraucher Ihr Bedürfnis (definiertes Sicherheitsnivau) leider weder in Wort noch in Metrik für sich formulieren können ( siehe Born und BSI, 42% wissen nicht einmal, dass Smart IoT von Schadsoftware befallen werden kann ).
Mann, machen wir IT heute wie Seepferdchen im Schwimmbad? Er schwamm 25 Meter und ist angekommen (Seepferdchen-Kennzeichen hab ich immer noch).
Das BSI-IT-Sicherheitskennzeichen ist gar nichts Wert und vermittelt im Gegenteil sogar ein falsches Sicherheitsgefühl.
So einfach bekommt man das Zertifikat:
1. Der Hersteller sichert zu, dass sein Produkt sicher ist.
2. Der Hersteller reicht einen Antrag auf Zertifizierung beim BSI ein.
3. das BSI prüft den Antrag auf Vollständigkeit und Plausibilität.
4. Das BSI stellt das Zertifikat aus
5. Das BSI überprüft später mal ,ob noch alles passt
That's it.
Unglaublich!
Lest selbst: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/IT-SiK-fuer-hersteller_node.html
Wenn wir in Deutschland und Europa nicht wieder echte Sicherheit und Innovation fördern, bleiben wir weiterhin in der aktuellen technischen Abhängigkeit gefangen.
Und so müssen wir wir uns trotz BSI Zertifikat weiterhin gefallen lassen, dass uns Zoom und Co. auf der Nase herum tanzen:
„Zoom nutzt Daten von Nutzer:innen, um „Künstliche Intelligenz" zu trainieren"
https://netzpolitik.org/2023/agb-aenderung-zoom-nutzt-daten-von-nutzerinnen-um-kuenstliche-intelligenz-zu-trainieren/
Das IT-Sicherheitskennzeichen müsste also korrekt heißen: "Verschaukelt vom Hersteller und dem BSI". Nimmt irgendwer das BSI noch ernst?
BSI macht Aprilscherze, zumindest so wie die Überschrift bei normalen Endkonsumenten der Medien ankommt, die keine Details lesen/verstehen…
Der Nutzen des BSI-IT-Sicherheitskennzeichens für die IT-Sicherheit liegt nahe bei Null.
Das liegt nicht nur an dem Verfahren, das ein Hersteller für die Erlangung durchlaufen muss und das Robert oben beschrieben. Es liegt auch an den übrigen „Anforderungen", die das BSI stellt.
Es gibt dabei nämlich kaum verbindliche Anforderungen – das Lieblingswort vom BSI ist 'SHALL'.
Es existiert in dem „zertifizierten" Produkt eine kritische Schwachstelle? Fein. Solange ein CVE-Eintrag existiert und die irgendwie bearbeitet wird, kann sie über Monate bestehen bleiben.
Das BSI kann man einfach nicht mehr ernst nehmen.
"SHALL" in Requirements bedeutet eine 100% Erfüllung und ist somit mit mandatory gleichzusetzen. Soweit wäre das kein Manko. Siehe RFC 2119 "Key words for use in RFCs to Indicate Requirement Levels".
Verd… Autokorrektur (und fehlende manuelle Kontrolle). Ich meinte SHOULD. Ja, 'Shall' wäre natürlich grundsätzlich okay. Und ja, es war schon ein wenig polemisch gemeint 😃
Zu sicher darf es auch nicht sein, unsere Dienste wie unsere Freunde müßen da schließlich auch noch rein schauen dürfen.
Das "Sicherheitskennzeichen" des BSI ist brandgefährlich, denn es suggeriert Sicherheit wo mutmaßlich keine vorhanden ist. Das BSI täuscht hier etwas vor, was sie gar nie geprüft haben. Warum machen sie das? Daß unsichere Software verbreitet wird damit man die Bürger besser abschnorcheln kann? Gibt es da eine hidden agenda der Regierung?
Eine solche hidden Agenda wäre versteckt hinter der Regierung zu suchen, ob sie es selbst weiss oder nicht oder nicht wissen will, das ist dann die andere Frage…